Security Awareness

Beschreibung

Die Themen

In den Vorträgen wird das Thema "IT Security Awareness" aus verschiedenen Anwendungsszenarien betrachtet.

Details zu den Vorträgen

Hans Werner, AIRBUS Deutschland GmbH:
Security Awareness bei Airbus

• Bedeutung des Mitarbeiters für die IT-Sicherheit
• Steuerung und Motivation
• Awareness: Rahmenbedingungen, Erfolgsfaktoren, Maßnahmen
• Projektbeispiel: Personnel Security Lifecycle

[Präsentation als PDF]   [Awareness Poster als PDF] 

Dirk Fox, Secorvo Security Consulting GmbH:
Wirksame Sensibilisierung - Maßnahmen, Beispiele und Erfolgsfaktoren  
von Security Awareness Kampagnen

Erst vor weniger als zehn Jahren begannen die ersten Unternehmen, in  
die Sensibilisierung ihrer Mitarbeiter für die Belange der  
Informationssicherheit zu investieren. Über die Jahre hat nicht nur  
die Vielfalt der Maßnahmen zugenommen: Inzwischen gibt es belastbare  
Erkenntnisse über die Wirksamkeit unterschiedlicher Konzepte und  
Herangehensweisen. Der Vortrag gibt einen Überblick über die  
Erfahrungen aus mehr als 20 Awareness-Kampagnen in unterschiedlichen  
Branchen und erläutert die zentralen Erfolgsfaktoren an ausgewählten  
Beispielen.  

Dietmar Pokoyski, known_sense:
Security Awareness Next Generation

Der so genannte "Faktor Mensch" ist in den letzten Jahren zum Lieblingsargument einer technisch sozialisierten und geprägten Security-Branche stilisiert worden. Die Menschen zu verstehen, sie zu erreichen -- und das nicht nur auf eine kognitive Art, sondern in dem Wissen um die "geheimen" Faktoren - und sie am Ende auch zu überzeugen, sie vielleicht zu "verändern" im Sinne einer gelebten und lebendigen Entwicklungsgeschichte, wird gerne als DER Erfolgsfaktor der Informationssicherheit dargestellt und als Aufgabe der Security Awareness zugeschrieben.

Was verbirgt sich jedoch genau hinter diesem Begriff? Bis heute werden Mitarbeiter mit affirmativen Gebotspostern, langweiligen Schulfernsehen, öden Schulungen oder Pflicht-WBTs, ins Intranet überführten Policies und Gewinnspielen penetriert, deren Erfolg daran gemessen wird, wieviele Kollegen sich gerne einen zweit-iPod auf Halde legen möchten.

Missverständnisse, die einen Paradigmenwechsel fordern, denn Security Awareness ist ein Prozess und kein Programm. Hier kommt die Awareness Next Generation ins Spiel. Sie orientiert sich konsequent an gestaltpsychologischen Grundlagen, Change Management und integrierter Kommunikation. Sie nutzt damit auch konsequent Methoden, die über eine Passung zum Gegenstand ihrer Betrachtung, den Menschen, verfügen. Denn es wäre allzu simpel, wenn die Informationssicherheit den Fokus aus der Technologie zugunsten des menschlichen Faktors verrückt, aber nicht in der Lage wäre, auf die dem Gegenstand angemessenen Ansätze zurückzugreifen. Wenn man schon "Mensch" sagt, muss man auch "Mensch" denken und mit den "weichen Faktoren" agierten lernen.

Dietmar Pokoyski stellt in Auszügen zu dem gemeinsam mit Michael Helisch u.a. bei Vieweg + Teubner Mitte 2009 erscheinenden Buchs "Awareness Next Generation" Methoden inklusive Fallbeispiele vor, die bisher eher weniger zum Werkzeugkasten des Security Managers gehören. Methoden, an denen die Professionals im Bereich der Unternehmenssicherheit über kurz oder lang nicht mehr vorbei kommen: Tiefenpsychologische Security-Wirkungsanalysen, systemisches CISO-Coaching, paradoxe Interventionen und Prozess-Baukästen mit Modulen wie Learning Maps, Storytelling, Game Based Development u.v.m. 

[Präsentation als PDF]  

Michael Helisch, HECOM Security Awareness Consulting:
Awareness aus Sicht des Marketings

• Was erhoffen wir uns von Marketing- bzw. Kommunikationsmaßnahmen, die im Rahmen von Awareness-Aktivitäten, oft mit viel Phantasie und Kreativität umgesetzt werden?
• Was vermag Marketing bzw. Kommunikation im Kontext Awareness überhaupt zu leisten? Welcher Ergänzungen bedarf es?
• Welche methodischen Vorgehensweisen empfehlen sich für die Praxis?

[Präsentation auf Anfrage (dirk.schadt(at)spot.net) erhältlich]